El Gobierno español normaliza la previsión de la tortura como origen de un ataque informático

Un manual de 2013 del Centro Criptológico Nacional, adscrito al CNI, recoge la tortura al emisor o al receptor de un mensaje encriptado como un factor de vulnerabilidad del «más robusto» de los sistemas de seguridad informática. En 2021 el Gobierno español da por normal esta previsión.

En abril trascendió la noticia de que un manual de 2013 del Centro Criptológico Nacional, organismo adscrito al Centro Nacional de Inteligencia, recogía que «el más robusto» de los planes de seguridad en informática puede caer si el emisor o receptor del mensaje es torturado o sobornado.

En concreto, el punto 87 de la “Guía/Norma de seguridad de las TIC (CNN-STIC-400)" recoge textualmente que «cualquier algoritmo de cifrado, para ser considerado seguro, ha de soportar todos estos ataques y otros no citados. Sin embargo, en la criptografía, como en cualquier aspecto de la seguridad, informática o no, no se debe olvidar un factor muy importante: las personas».

Y es ahí donde concreta que «el sistema más robusto caerá fácilmente si se tortura al emisor o al receptor hasta que desvelen el contenido del mensaje, o si se le ofrece a uno de ellos una gran cantidad de dinero; este tipo de ataques (sobornos, amenazas, extorsión, tortura...) se consideran siempre los más efectivos».

Pregunta de Jon Iñarritu

Esta aceptación de la tortura como una fuente de investigación suscitó algunas reacciones y que el diputado de EH Bildu Jon Iñarritu enviara desde el Congreso una batería de preguntas al Gobierno: «¿Quién o quiénes fueron los autores de dicho manual? ¿Entre qué fechas estuvo en vigor? ¿Qué opinión le merece al Gobierno su contenido?».

Incidía también Iñarritu en si «¿estima el Gobierno que la tortura es un sistema eficaz para luchar contra la ciberdelincuencia? ¿Y contra otras formas de delincuencia?». Además, el parlamentario de EH Bildu preguntaba si «conoce el Gobierno algún otro estado miembro de la UE que haya previsto, aunque sea como hipótesis, la tortura como método de trabajo en el ámbito de la seguridad» Por último, le pedía información sobre si «se ha tomado alguna medida en relación en este manual y sobre sus autores».

El Gobierno, lacónico y críptico

Pero como es habitual, el Gobierno se muestra tan lacónico como críptico en su respuesta al Congreso, y deja sin contestación la mayoría de las preguntas de Iñarritu. Se limita recoger que «el Centro Criptológico Nacional tiene entre sus funciones elaborar y difundir normas, instrucciones y guías para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones, materializadas en la existencia de la serie de documentos Centro Criptológico Nacional (CCN)-Sistemas y Tecnologías de Información y Comunicación (STIC)».

Y con una fórmula absolutamente normalizadora de su uso, el Ejecutivo al que representa en este área Margarita Robles afirma que «la referencia a la tortura, que aparece en el Manual CCN-STIC-400v.1.1, se cita en un contexto en el que se describen e identifican amenazas y riesgos que se ciernen sobre los algoritmos de cifrado y la fortaleza de un sistema cripto. Desgraciadamente, la tortura es una de esas amenazas donde se desconoce el respeto a los derechos humanos».

El referido manual está prologado por Félix Sanz Roldán, que firmó como secretario de Estado y director del Centro Criptológico Nacional. Fue director del CNI. Condecorado general del Ejército y Jefe del Estado Mayor de la Defensa, le nombró para el cargo José Luis Rodríguez Zapatero el 6 de julio de 2009 y le sustituyó Pedro Sánchez, diez años despues, el 6 de julio de 2019, que nombró para la dirección del CNI a Paz Esteban López.